Репутационные базы сейчас становятся основой информационной безопасности. Связано это с тем, что нет единственной надёжной технологии защиты от всех угроз, но защититься от нападений можно только комплексно, по совокупности признаков.
Репутационные базы сейчас становятся основой информационной безопасности. Связано это с тем, что нет единственной надёжной технологии защиты от всех угроз, но защититься от нападений можно только комплексно, по совокупности признаков. Именно такую совокупность и обеспечивают репутационные технологии, которые сводят в свой вердикт множество самых разнообразных признаков.
Из списка технологий видно, что наиболее общим подходом являются репутационные базы, построенные на URL, к которому также можно привязвать самую разнообразную информацию о вредоносности того или иного ресурса. При этом он является даже не прямым адресом, но ссылкой, состоящей из различных компонент: доменного имени, каталога, имени файла (для него можно вычислить контрольную сумму) и самых разнообразных параметров. При этом имя сервера также является не его прямым IP-адресом, но только ссылкой на запись в системе преобразования доменных имен в IP-адреса - это преобразование выполняет система доменных имен (DNS). Фактически именно DNS является той ключевой системой, которая может быть использована для хранения репутационной информации о всех ресурсах сети Интернет.
По изначальной задумке DNS должна быть нейтральной и максимально быстро преобразовывать доменное имя в реальный IP-адрес сервера. Однако этот принцип нейтральности DNS является проблемой, поскольку злоумышленники часто используют и динамические доменные адреса, и переадресацию, и сервисы сокращенных ссылок, чтобы скрыть реальный URL, куда ведет та или иная ссылка. Однако в любом случае именно DNS-сервер в конце концов сообщает браузеру адрес вредоносного сайта, откуда может быть загружен вредоносный контент.
Если мы хотим обезопасить Интернет от вредоносной активности, то стоит несколько модифицировать принципы работы DNS - она не должна быть пассивной, но сопротивляться вредоносной активности. В частности, корпоративному DNS-серверу не стоит корректно разрешать ссылки на очевидно фишинговые сайты или ресурсы, заражающие своих посетителей вредоносным программным обеспечением. При этом, вполне возможно не нарушать структуру основного сайта, поскольку вредоносные вкрапления на сайте, как правило, делаются хакерами незаметно для посетителей, поэтому их блокировка также не должна вызвать проблем.
В то же время можно не контролировать трафик URL, но изменить разрешение доменных имен. Если имя сервера имеет отрицательную репутацию, то выдавать клиенты не его реальный IP-адрес, а адрес специального сервера с соответствующим предупреждением. Такая фильтрация доменных имен на уровне корпоративного DNS-сервера не требует "на лету" разбирать HTTP-протокл, выделять из него URL, запрашивать репутацию его в базе - достаточно просто в базе DNS-сервера модифицировать записи, которые показались подозрительными.
Впрочем есть уже два сервиса фильтрации DNS: компании Google с помощью Google Safe Browsing API и российской компании Entensys под названием Gatewall DNS-Filter. Для подключения к ним достаточно перенастроить корпоративный DNS-сервер так, чтобы сведения о доменных именах он получал от указанных для каждого из этих сервсов IP-адреса. Это специфичные DNS-сервера, в которых собрана база всех опасных доменных имен. Эти имена совсем не те, которые выдят незащищенные пользователи Интернет, но специальные IP самого сервиса. В то же время остальные имена с хорошей репутацией сервера преобразуют вполне корректно.
Впрочем сервис Google по понятным причинам очень демократичен - в его базу попадают только те адреса, которые очевидно являются вредоносными. В результате, его база данных составляет всего чуть более трех сотен тысяч адресов, которые содержат вредоносный код. Эти адреса собираются практически вручную теми компаниями, которые следят за вредоносной активностью зомби-сетей и вредоносных программ. Этот сервис можно использовать только для защиты от вредоносов.
Кроме того, в сервисе Entensys предусмотрено 82 категории, каждую из которых можно заблокировать или разрешить. Эти настройки делает администратор корпоративной сети в специально предназначенном для этого веб-интерфейсе. Таким образом, защита может быть настроена более точно - не только для предотвращения проникновения вредоносных программ, но также и для фильтрации других типов ненужной информации: порнографии, музыки, фильмов, веб-игр, социальных сетей и практически любых веб-приложений. Эти настройки делаются администратором на серверах Entensys и транслируются на соответствующие корпоративные DNS-сервера, а далее и на всех клиентов, как внутренних, так и внешних. В результате, можно фильтровать интернет в том числе и на мобильных устройствах, если настроить соответствующий DNS-сервер и заблокировать смену этой настройки.
Подобная система фильтрации хорошо подходит для государственных и образовательных учреждений, а также компаний, которые заботятся о сокращении непродуктивного расходования вычислительных ресурсов. Причем услуга не требует установки какого-нибудь дополнительного оборудования или программного обеспечения - для подключения достаточно изменить настройки корпоративного DNS-сервера, в котором указать соответствующие сервера компании Entensys.
В то же время компания предлагает провайдерам специальный набор API и модулей интеграции с биллинговыми системами, которые позволяют построить на их основе дополнительный сервис защиты, интегрированный с личным кабинетом пользователя. Это даст операторам возможность зарабатывать дополнительные средства на предоставлении безопасного доступа к Интернет.
К тому же этот тип защиты оказывается самым оперативным - поскольку не требует обновления антивирусных баз, но только оперативного очищения DNS-кешей. Кроме того, сервис DNS-Filter, в отличии от антивирусов, позволяет сократить корпоративный трафик, поскольку с его помощью можно заблокировать наиболее ресурсоемкие сетевые сервисы: мультимедийные ресурсы, интернет-игры, зомби-сети и другие непродуктивные веб-ресурсы.
Устали от того, что Интернет знает о вас все? Присоединяйтесь к нам и станьте невидимыми!